フォレンジックとは、PCなどから裁判の証拠となりうる情報を収集することである。リーガルテック社では、多数のフォレンジック調査を行ってきた。そのノウハウを集め、専門家でなくてもフォレンジック調査を可能にしたのが、AOS Fast Forensicsの「高速モード」である。以前の記事で、企業向けのフォレンジックルームを紹介したことがあるが、そこで実際に使うソフトウェアの1つである。
事例として、以下のような情報漏えいを想定する。
- 共有フォルダの社外秘ファイルをローカルPCにコピー
- コピーしたファイルを実行し内容を確認
- 社外に持ち出すためUSBメモリにこれらのファイルをコピー
- 確認後、コピーした共有フォルダを削除
図1は、漏えい者がコピーした共有フォルダの一部である。
USBメモリからAOS Fast Foreniscsを起動し、高速モードで調査を開始する。
必要となる情報を収集する。高速モードは数分で終了する。
次いで、メニュー画面となり、図4の下にあるメニューを選択し、調査を行う。
Point 1 最近使用した文書ファイルをチェック
まずは、下のメニューから[最近使用した文書]を選ぶ。図5のように、ファイル一覧が表示される。
ローカルにコピーした「社外秘」のファイル(図1)が閲覧された痕跡が確認できる。さらに、「社外秘」で絞り込んでみる。
このユーザーは非常に多数の「社外秘」ファイルを閲覧している。これが、正しい行為か確認する必要があるだろう。たとえば、営業部でもないのに販売先リストの閲覧などは疑われる行為といえる。
このように社外秘などのファイルについては、ファイル名に「社外秘」「機密」といった語を入れておくと、調査しやすい。
Point 2 削除されたファイルをチェック
[ファイルタイプ]を選択すると、PC内のファイルをタイプ別に一覧で確認することができる。開いた時点では、タイプがPDFのファイルが表示される。
ここで注目したいのは「Deleted」、つまり削除されたファイルを表示させることができる。事例で紹介したように、漏えい者は証拠を隠滅させるために、必ずといっていいほど削除を行う。そこで、削除されたファイルを探すことで、不審な行為がないか確認できる。実際に検出した削除されたExcelファイルの一覧が図8である。
ここでも、図1にあった社外秘のファイルが表示されている。さらに、ファイル名で絞り込むことができる。図9では「aos」で絞り込んでみた。
Point 3 USBメモリの使用履歴をチェック
[USB接続履歴]では、PCに接続したUSBデバイスの一覧を表示する。
スマホなども表示されている(青の部分)。さまざまな絞り込み方法があるが、ここでは[タイプ]で絞り込む。
さらに「disk」で検索する。結果は、図12のようになる。
メーカー名やシリアルから許可されていないUSBメモリを見つけ出す。ややわかりにくい作業になるかもしれない。そこで、小規模であれば、会社で同一メーカーのUSBメモリを購入し、社員に配布するでもよい。こうすれば、そのメーカー以外のUSBメモリを使った場合、一目瞭然に判定できる。
Point 4 時間外(特に深夜)のインターネット利用をチェック
[WEB履歴]では、情報漏えいに直接、関係するとは限らないが、サイトの閲覧履歴を表示する。
インターネットエクスプローラーが持つ履歴データからも抽出しているで、ファイルアクセスを含め、大量の履歴が表示される。
ここでの絞り込みのポイントは、隠語や時間外である。深夜に業務に無関係なサイトの閲覧では、私的な閲覧のケースが多い。WEB履歴のみを表示するには、[アドレス]を選択する。
さらに、「http」で絞り込む。
WEBの閲覧履歴のみが表示される。さらに「ラグビー」で検索してみた。結果は、図16のようになった。
勤務時間に動画サイトで、ラグビーの動画を閲覧していることがわかる。
Point 5 最後は保全
調査を行い、問題が発見、もしくは予見されたら、保全作業を行う。たとえば、漏えいしたファイルをそのPCで起動してしまうと、所有者やアクセス時間が変わってしまい証拠として棄損してしまう。そこで、漏えいが発生した状態を確実に保存する必要がある。それが、保全である。
保全では、OSからは空き領域となる部分などもそのままコピーされる。したがって、やや時間がかかる(500GBで約3時間)。そこで、高速モードであたりをつけてから行うことが現実的である。一般的には、外付けHDDなどを使用し、[イメージタイプ]は「Encaseイメージ」を選ぶ。
保全が完了したら、改めて、正式なフォレンジック調査を依頼してもよいだろう。
AOS Fast Forensicsに限らず、この種のツールは膨大なデータを生成する。そこから、いかにして危険性やインシデントを見出すかがポイントとなる。その基本は、絞り込みである。
また、情報漏えいへの対応でもっとも重要なのは、初動調査の迅速性である。原因や漏えい内容の把握、これを短期間で行うことが求められる。時間が経てばより、究明が難しくなる。さらに、対外発表についても、より詳細であるほうが望ましい。高速モードでは、それほど知識や技術がなくとも一定レベルの初動調査が可能である。対策の1つとして、検討してみてはいかがだろうか。